ISA TEST Writeup

刚出来的hack游戏，非常easy，现在只有7关。考虑入门级。没有什么可以玩。

http://helloisa.com/

LEVEL 1

细致观察页面，入侵的第一步是收集一切可能产生价值的信息

ps:最好使用谷歌浏览器或火狐浏览器

将找到的password输入到以下的对话框中

password：

右键查看源代码

<h3>LEVEL 1</h3>
	<!--
	！！！提示！！ 。
	分析网页源代码是黑客必备的基础技能
	既然你已经看到这句话
	就说明你已经符合 增加我们 的基本要求了
	进入第二关的password是：186ba6199019568b69315a0f15ae7547
	！！！ 提示！ 。！
	-->

LEVEL 2

看见以下这段字符串熟悉吗？

熟悉的话赶快提交password吧！

~

OTFkY2ZjMGNlOWE5MzcxN2VlN2U4MmYyZDQxNTA2YjQ=

password：

base64解码

key：91dcfc0ce9a93717ee7e82f2d41506b4

LEVEL 3

本关的通关password已经给出并填好，但貌似不能提交啊

password：

右键查看源代码

<h3>LEVEL 3</h3>
	本关的通关password已经给出并填好，<span class="redcolor">但貌似不能提交啊</span><br/>
	<!-- 绕过<span class="redcolor">网页的本地验证</span>，是黑客的必备技能 <br/><br/>细致看看表单提交的代码吧，你会有意想不到的收获 -->
	<div>
	<br/>
	<form id="form" action="index.php"method="GET"autocomplete="off"onsubmit="return check();">
	password：<input name='pwd' type="text"size="50"value="e555c3455a0415abbdbb2467fe3edf82"/>
	<input name='l' type="hidden"value="3"/>
	<input name='a' type="hidden"value="c"/>
	<input type="submit" value="提交">
	</form>
	</div>
	<script>
	function check(){
	if(!form.pwd.value){
	alert("password不能为空");
	}else if(form.pwd.value.length>30){
	alert("password不能长于30位");
	}else{
	alert("password是 e555c3455a0415abbdbb2467fe3edf82 ");
	form.pwd.value='e555c3455a0415abbdbb2467fe3edf82';
	}
	return false;
	}
	</script>

能够看出当你点击提交时。就会进入check函数，所以不点击提交，直接通过url的get參数提交

而且把url的a=s改为a=c

构造url：http://helloisa.com/test/index.php?l=3&a=c&pwd=e555c3455a0415abbdbb2467fe3edf82

LEVEL 4

以下这张图片是社团的LOGO，下一关的password就在里面哦~



password：

下载图片。hex（十六进制编辑器打开）

拉到最以下有一段不是乱码的就是key

key：2b4401c871613d0f80224f9c4317bab4

LEVEL 5

本关password非常easy，就是：本站域名全部者的E-mail

password：

whois查询

key：xing3389@126.com

LEVEL 6

到了这一关。也许你认为整个測试非常easy

那就来个难的吧?

我不会给你不论什么提示,可是我能够明白地告诉你,password已经给你了

password：

F12,查看头部

Set-Cookie:

ISA_Level_6_password=1ec8635c58b30741acf1311cb0178edb

LEVEL 7

我们的惯性思维会给我们造成一些阻碍

可是就算我非常明白的告诉你password是什么

你真的能通关吗？

password：

略坑……

依据提示惯性思维和明白告诉得出

password那是，：什么